SlideShare une entreprise Scribd logo
« Politiques de Sécurité de
l’Information »
Club 27001
Toulouse – 12 Avril 2013
Sébastien RABAUD – SCASSI Conseil
sebastien.rabaud@scassi.com
Politiques de sécurité
Sommaire

« Politiques » et « sécurité »
Constats
Besoins et objectifs des politiques de sécurité
Structure / Contenu des politiques de sécurité
Mise en œuvre des politiques de sécurité
Reproduction interdite sans accord écrit de SCASSI Conseil

2
« Politiques » et « Sécurité »

Les politiques dans un organisme
– Exemples :
• Ressources humaines, Achats / Fournisseurs, Commerciale,
Qualité produit, …

– Définition :
• Stratégie, lignes directrices, règles de fonctionnement, …
• Liées à un processus, une activité, …
• Documenté … ou pas

Les politiques de sécurité
– Exemples :
• Industrielle, des personnes, des bâtiments, …
• De l’Information, des Systèmes d’Information, du SMSI
Reproduction interdite sans accord écrit de SCASSI Conseil

3
Politiques de sécurité
Constats

Un unique document monolithique … « copier / coller » de
ISO27002 (« LA PSI »)
Un magma de documents hétérogènes :
– notes de services, mails, chartes, procédures opérationnelles, …

Rien du tout …
Pas mis à jour, « poussiéreux », …
Inutilisés car …
Pas ou peu connu des acteurs pertinents
Inutilisable
Pas assez précis / applicable pour certains acteurs (administrateurs
systèmes, réseaux, chef de projet, …)
Trop précis pour d’autres (Chefs de projet, managers, …)

Niveau d’application / de conformité inconnu !
Reproduction interdite sans accord écrit de SCASSI Conseil

4
Politiques de sécurité
Pourquoi ?

Quels sont les besoins et objectifs ?
– Une politique de sécurité de l’information pour répondre à des
exigences
• Clients :
– avec référentiel (« Maison », 27001)
– … ou sans => « Qu’attends l’auditeur ? »

• RGS

Reproduction interdite sans accord écrit de SCASSI Conseil

5
Politiques de sécurité
Pourquoi ?

Quels sont les besoins et objectifs ?
– Une politique de sécurité de
l’information pour répondre à des
exigences

• PCI-DSS

Reproduction interdite sans accord écrit de SCASSI Conseil

6
Politiques de sécurité
Pourquoi ?

Quels sont les besoins et objectifs ?
– Une politique de sécurité de l’information pour répondre à des
exigences
• 27001 : Etablissement du SMSI

Reproduction interdite sans accord écrit de SCASSI Conseil

7
Politiques de sécurité
Pourquoi ?

Quels sont les besoins et objectifs ?
– Une politique de sécurité de l’information pour répondre à des
exigences
• 27001 : Annexe A

Reproduction interdite sans accord écrit de SCASSI Conseil

8
Politiques de sécurité
Pourquoi ?
Quels sont les besoins et objectifs ?
– Une politique de sécurité de l’information pour répondre à un
besoin, une thématique précise
• BYOD, réseaux sociaux, …

– Une politique de sécurité de l’information pour :
•
•
•
•

définir, communiquer, partager les règles de sécurité
… auprès des bons interlocuteurs avec le bon niveau de détails
concernant tout ou partie des domaines de la sécurité de l’information
s’adapter aux évolutions
– Des risques
– De l’organisation

• plutôt une cible à atteindre qu’un recueil de ce que l’on est capable de faire

Reproduction interdite sans accord écrit de SCASSI Conseil

9
Politiques de sécurité
Structure
Structure multi-niveaux
Niveau

Objet

Contenu, Exemples

1

Stratégie, Général

Principes généraux : Fonction SSI, Rôles
et responsabilités SSI

2

Thématiques

Domaines SSI : Contrôle d’accès,
Traces, Tiers, …

3

Détaillées

Réseau, Systèmes, Application n

4

Guides, Procédures SSI

S’appliquant à plusieurs processus /
services

Transverses /
« périphériques »

Chartes, Note d’organisation, Politique de
sécurité applicable aux fournisseurs

Autres

Reproduction interdite sans accord écrit de SCASSI Conseil

10
Politiques de sécurité
Structure
Structure multi-niveaux
Les politiques thématiques (N2)
– regroupent l’ensemble des règles d’une thématique s’appliquant à
l’ensemble de l’organisme
– sont utilisables / applicables directement en tant que référentiel
– peuvent être utilisés pour définir une politique de niveau 3
– Exemples : Contrôle d’accès logique, Gestion des traces, alertes,
incidents, …

Reproduction interdite sans accord écrit de SCASSI Conseil

11
Politiques de sécurité
Structure
Structure multi-niveaux
Les politiques détaillées (N3)
– regroupent les règles d’un « domaine » pour l’ensemble des
thématiques (« héritage » du niveau 2),
– permet à certains acteurs d’avoir un seul document référent
– permet d’instancier, de préciser, d’ajouter certaines règles
– Exemples : Réseau, Système, Bureautique, Application RH, …

Reproduction interdite sans accord écrit de SCASSI Conseil

12
Politiques de sécurité
Structure
Structure multi-niveaux

Les guides et procédures SSI (N4)
– Ne sont pas des politiques mais répondent à des besoins de
guides ou procédures « génériques » :
• Soit pour répondre à des besoins transverses particuliers. Ex : procédure de
déclaration CNIL (à l’usage des responsables de traitement)
• Soit pour faciliter l’élaboration, l’amélioration de procédures opérationnelles.
Ex : procédure de création d’accès utilisateur

Reproduction interdite sans accord écrit de SCASSI Conseil

13
Politiques de sécurité
Structure
Structure multi-niveaux
Les documents « autres, transverses »
– Ne sont pas des politiques mais répondent à des besoins
particuliers
•
•
•
•
•

Chartes : d’usage du système d’information, éditoriale, …
Politiques de sécurité applicables par les tiers
Documents de sensibilisation : supports de présentation, …
Communications ponctuelles : alertes, notes, …
Matrice de correspondance entre un référentiel imposé et la
structure documentaire
• Document demandé par un client : Politique de protection des
données client
Reproduction interdite sans accord écrit de SCASSI Conseil

14
Politiques de sécurité
Structure
Documents de gestion
Le référentiel documentaire
– Contient notamment les « métadonnées » de la politique

Le(s) documents de suivi de la « conformité »
– Globale (Référentiel = N2)
– Par « domaine » (Référentiel = N2) : Applications RH
Reproduction interdite sans accord écrit de SCASSI Conseil

15
Politiques de sécurité
Structure

Reproduction interdite sans accord écrit de SCASSI Conseil

16
Politiques de sécurité
Structure
Modèle documentaire

Reproduction interdite sans accord écrit de SCASSI Conseil

17
Politiques de sécurité
Rôles
Rôles « génériques » relatifs à chaque document
Exemples
Valider

Comité Sécurité,
Directeur Général

Définir et mettre à jour

RSSI, Experts
Tout ou partie d’un
document de politique
(ex : la stratégie de
contrôle d’accès)

Diffuser
« Faire appliquer »

RSSI
RSSI

Appliquer, Mettre en
œuvre

Administrateurs, Chefs
de projet,

Contrôler, vérifier

RSSI, Audit interne

Reproduction interdite sans accord écrit de SCASSI Conseil

18
Politiques de sécurité
Contenu
Des règles ou exigences qui peuvent être en 2 parties :
– Décrire ce qu’il faut faire
– … et décrire ce qui a été fait !

Reproduction interdite sans accord écrit de SCASSI Conseil

19
Politiques de sécurité
Projet ou processus ?

Un projet de définition de politique de sécurité, c’est bien …
– « Une politique de sécurité sera définie à un instant t »

… un projet de « définition et mise en œuvre d’un
« processus » de gestion de politique de sécurité », c’est
mieux !
– Modalités de gestion de la politique : validation, mise à jour, diffusion,
contrôle, …
– De manière itérative et progressive
« Ne pas tout faire d’un seul coup »

Reproduction interdite sans accord écrit de SCASSI Conseil

20
Politiques de sécurité
Mise en œuvre

Adaptation à l’existant et aux besoins de l’organisme
– Au niveau de la structure documentaire
• Par rapport à la cartographie des processus
• … en fonction du niveau de maturité
– Processus RH
Politique RH
– Processus de gestion des tiers
Politique de sécurité des tiers ?
– Continuité d’activité
– Juridique / Réglementaire

Politique de sécurité RH ?
Politique de gestion des tiers

– Au niveau des activités de gestion
• Validation : instances, comités
• Diffusion : communication
• Contrôle : audit interne
Reproduction interdite sans accord écrit de SCASSI Conseil

21
Politiques de sécurité
Mise en œuvre

Impliquer les « acteurs » dans la définition / rédaction des politiques
– « Valideur »
– « Appliqueur »

Sous forme de groupe de travail avec comme support une base
« générique » de règles
La « diffusion » des politiques doit être accompagnée d’actions de
sensibilisation (« convaincre ») et de formations (« apprendre »)

Reproduction interdite sans accord écrit de SCASSI Conseil

22
Politiques de sécurité
Mise en œuvre & Amélioration
Politiques de sécurité et gestion des risques (1)
– « La politique de sécurité doit découler d’une analyse de risques »
• La politique générale doit intégrer une description des enjeux principaux
issues de l’analyse de risques globale à l’organisme
• Les politiques de sécurité détaillées relatives aux domaines métiers /
applicatifs doivent être élaborés en fonction des analyses de risques
spécifiques. Ex : nature ou durée de conservation de traces liées à des
exigences métiers spécifiques, niveau de contrôle d’accès logique
adaptée au niveau de sensibilité des données

– L’évolution des politiques de sécurité dépends directement des
évolutions du risque
• Usages : BYOD, réseaux sociaux, …
• Menaces : DDOS, APT, …

Reproduction interdite sans accord écrit de SCASSI Conseil

23
Politiques de sécurité
Mise en œuvre & Amélioration
Politiques de sécurité et gestion des risques (2)
– Interfaces RISQUES
RH
R
I
S
Q
U
E
S

POLITIQUES
IT

M1

BYOD, réseaux sociaux
Tiers, Cloud
…

M
E
S
U
R
E
S
24

Reproduction interdite sans accord écrit de SCASSI Conseil
Politiques de sécurité
Conclusion

« Plusieurs politiques de sécurité » …
– La politique de sécurité interne qui décrit les règles et exigences
s’appliquant à l’ensemble des activités de l’organisme
Ex : Politique de sécurité relative à la gestion des tiers, Politique de
protection des données, …

– Des documents « périphériques » pouvant être intitulé
« politiques de sécurité » destinés à répondre à des besoins
spécifiques (souvent « externes »)
Ex : Politique de sécurité applicable au tiers (à usage d’annexe
contractuelle par exemple), Politique de protection des données clients

Reproduction interdite sans accord écrit de SCASSI Conseil

25
Politiques de sécurité
Conclusion

Point-clés

Et vous ?

Organisation, rôles, processus de
gestion

?

Structure documentaire

?

Analyse de risques

?

Diffusion / Sensibilisation

?

Contrôle / Vérification / conformité

?

Complétude / profondeur

?

Reproduction interdite sans accord écrit de SCASSI Conseil

26
Merci de votre attention

?
http://www.scassi.com

Sébastien RABAUD – SCASSI Conseil
sebastien.rabaud@scassi.com
Reproduction interdite sans accord écrit de SCASSI Conseil

27

Contenu connexe

Tendances

La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI)
BRIVA
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
etienne
 
Présentation audits de sécurité
Présentation   audits de sécuritéPrésentation   audits de sécurité
Présentation audits de sécurité
Harvey Francois
 
Mehari
MehariMehari
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEDEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
hpfumtchum
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
ISACA Chapitre de Québec
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
Comsoce
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pas
Alghajati
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
Philippe CELLIER
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
Emna Tfifha
 
Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)
Ammar Sassi
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
Bachir Benyammi
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'information
Aymen Foudhaili
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
DIALLO Boubacar
 
EBIOS
EBIOSEBIOS
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
Diane de Haan
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail  de la mission audit de la sécurité des SIProgramme de travail  de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SI
Ammar Sassi
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts Clés
Franck Franchin
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016
PRONETIS
 

Tendances (20)

La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI)
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
 
Présentation audits de sécurité
Présentation   audits de sécuritéPrésentation   audits de sécurité
Présentation audits de sécurité
 
Mehari
MehariMehari
Mehari
 
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEDEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pas
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
 
Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
 
Mehari
MehariMehari
Mehari
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'information
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
 
EBIOS
EBIOSEBIOS
EBIOS
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail  de la mission audit de la sécurité des SIProgramme de travail  de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SI
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts Clés
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016
 

En vedette

ISO 27001 - Information security user awareness training presentation - part 3
ISO 27001 - Information security user awareness training presentation - part 3ISO 27001 - Information security user awareness training presentation - part 3
ISO 27001 - Information security user awareness training presentation - part 3
Tanmay Shinde
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
Franck Franchin
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatique
Saber Ferjani
 
ISO 27001:2013 Implementation procedure
ISO 27001:2013 Implementation procedureISO 27001:2013 Implementation procedure
ISO 27001:2013 Implementation procedure
Uppala Anand
 
ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013  An Overview ISO/IEC 27001:2013  An Overview
ISO/IEC 27001:2013 An Overview
Ahmed Riad .
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
oussama Hafid
 
Mise en place d'une solution du supérvision réseau
Mise en place d'une solution du supérvision réseauMise en place d'une solution du supérvision réseau
Mise en place d'une solution du supérvision réseau
Rabeb Boumaiza
 
SIEM presentation final
SIEM presentation finalSIEM presentation final
SIEM presentation final
Rizwan S
 
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Alaaeddine Tlich
 
Scope of work IT DD
Scope of work IT DDScope of work IT DD
Scope of work IT DD
Ivan Piskunov
 
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Eric Clairvoyant, Adm.A.,T.P., CRISC
 
Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001
Ivan Piskunov
 
ISO 27001 (v2013) Checklist
ISO 27001 (v2013) ChecklistISO 27001 (v2013) Checklist
ISO 27001 (v2013) Checklist
Ivan Piskunov
 
Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ISO27001: Implementation & Certification Process Overview
ISO27001: Implementation & Certification Process OverviewISO27001: Implementation & Certification Process Overview
ISO27001: Implementation & Certification Process Overview
Shankar Subramaniyan
 
ISO 27001 Implementation_Documentation_Mandatory_List
ISO 27001 Implementation_Documentation_Mandatory_ListISO 27001 Implementation_Documentation_Mandatory_List
ISO 27001 Implementation_Documentation_Mandatory_List
SriramITISConsultant
 
ISO 27001 - information security user awareness training presentation - Part 1
ISO 27001 - information security user awareness training presentation - Part 1ISO 27001 - information security user awareness training presentation - Part 1
ISO 27001 - information security user awareness training presentation - Part 1
Tanmay Shinde
 
Iso 27001 2013 Standard Requirements
Iso 27001 2013 Standard RequirementsIso 27001 2013 Standard Requirements
Iso 27001 2013 Standard Requirements
Uppala Anand
 
Security Information and Event Management (SIEM)
Security Information and Event Management (SIEM)Security Information and Event Management (SIEM)
Security Information and Event Management (SIEM)
k33a
 
Rapport De PFE
Rapport De PFERapport De PFE
Rapport De PFE
Nadir Haouari
 

En vedette (20)

ISO 27001 - Information security user awareness training presentation - part 3
ISO 27001 - Information security user awareness training presentation - part 3ISO 27001 - Information security user awareness training presentation - part 3
ISO 27001 - Information security user awareness training presentation - part 3
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatique
 
ISO 27001:2013 Implementation procedure
ISO 27001:2013 Implementation procedureISO 27001:2013 Implementation procedure
ISO 27001:2013 Implementation procedure
 
ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013  An Overview ISO/IEC 27001:2013  An Overview
ISO/IEC 27001:2013 An Overview
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
 
Mise en place d'une solution du supérvision réseau
Mise en place d'une solution du supérvision réseauMise en place d'une solution du supérvision réseau
Mise en place d'une solution du supérvision réseau
 
SIEM presentation final
SIEM presentation finalSIEM presentation final
SIEM presentation final
 
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
 
Scope of work IT DD
Scope of work IT DDScope of work IT DD
Scope of work IT DD
 
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
 
Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001
 
ISO 27001 (v2013) Checklist
ISO 27001 (v2013) ChecklistISO 27001 (v2013) Checklist
ISO 27001 (v2013) Checklist
 
Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013
 
ISO27001: Implementation & Certification Process Overview
ISO27001: Implementation & Certification Process OverviewISO27001: Implementation & Certification Process Overview
ISO27001: Implementation & Certification Process Overview
 
ISO 27001 Implementation_Documentation_Mandatory_List
ISO 27001 Implementation_Documentation_Mandatory_ListISO 27001 Implementation_Documentation_Mandatory_List
ISO 27001 Implementation_Documentation_Mandatory_List
 
ISO 27001 - information security user awareness training presentation - Part 1
ISO 27001 - information security user awareness training presentation - Part 1ISO 27001 - information security user awareness training presentation - Part 1
ISO 27001 - information security user awareness training presentation - Part 1
 
Iso 27001 2013 Standard Requirements
Iso 27001 2013 Standard RequirementsIso 27001 2013 Standard Requirements
Iso 27001 2013 Standard Requirements
 
Security Information and Event Management (SIEM)
Security Information and Event Management (SIEM)Security Information and Event Management (SIEM)
Security Information and Event Management (SIEM)
 
Rapport De PFE
Rapport De PFERapport De PFE
Rapport De PFE
 

Similaire à Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]

Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiquesSécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
Elodie Heitz
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
Jean-Michel Razafindrabe
 
resume-theorique-m212-cybersecurite-v1-1509-_2.pdf
resume-theorique-m212-cybersecurite-v1-1509-_2.pdfresume-theorique-m212-cybersecurite-v1-1509-_2.pdf
resume-theorique-m212-cybersecurite-v1-1509-_2.pdf
FootballLovers9
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
Alghajati
 
Comment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignComment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By Design
Thierry RAMARD
 
2015-05-21 Atelier N°14 SSA 2015 "Politique générale de sécurité des SIS : co...
2015-05-21 Atelier N°14 SSA 2015 "Politique générale de sécurité des SIS : co...2015-05-21 Atelier N°14 SSA 2015 "Politique générale de sécurité des SIS : co...
2015-05-21 Atelier N°14 SSA 2015 "Politique générale de sécurité des SIS : co...
ASIP Santé
 
Ageris training 2016
Ageris training 2016Ageris training 2016
Ageris training 2016
Thierry RAMARD
 
guide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdfguide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdf
khalid el hatmi
 
Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015
Alain Huet
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
kabengniga ibrahima soro
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
Gaudefroy Ariane
 
Guide hygiene informatique Anssi
Guide hygiene informatique AnssiGuide hygiene informatique Anssi
Guide hygiene informatique Anssi
Agathe Mercante
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
EyesOpen Association
 
Ageris software 2016
Ageris software 2016Ageris software 2016
Ageris software 2016
Thierry RAMARD
 
Ageris privacy 2016
Ageris privacy 2016Ageris privacy 2016
Ageris privacy 2016
Thierry RAMARD
 
SMSSI ITIL
SMSSI  ITILSMSSI  ITIL
SMSSI ITIL
chammem
 
ESTEM5A PART 1 POLITIQUE DE securite informatique.ppt
ESTEM5A PART 1  POLITIQUE DE  securite informatique.pptESTEM5A PART 1  POLITIQUE DE  securite informatique.ppt
ESTEM5A PART 1 POLITIQUE DE securite informatique.ppt
NourAkka1
 
Asis 2014 fr - présentation
Asis 2014 fr - présentationAsis 2014 fr - présentation
Asis 2014 fr - présentation
Eric DAVOINE
 
Responsable de la securite des systemes d’information
Responsable de la securite des systemes d’informationResponsable de la securite des systemes d’information
Responsable de la securite des systemes d’information
Harold NGUEGANG
 
Is27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementerIs27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementer
CERTyou Formation
 

Similaire à Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013] (20)

Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiquesSécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
 
resume-theorique-m212-cybersecurite-v1-1509-_2.pdf
resume-theorique-m212-cybersecurite-v1-1509-_2.pdfresume-theorique-m212-cybersecurite-v1-1509-_2.pdf
resume-theorique-m212-cybersecurite-v1-1509-_2.pdf
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
 
Comment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignComment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By Design
 
2015-05-21 Atelier N°14 SSA 2015 "Politique générale de sécurité des SIS : co...
2015-05-21 Atelier N°14 SSA 2015 "Politique générale de sécurité des SIS : co...2015-05-21 Atelier N°14 SSA 2015 "Politique générale de sécurité des SIS : co...
2015-05-21 Atelier N°14 SSA 2015 "Politique générale de sécurité des SIS : co...
 
Ageris training 2016
Ageris training 2016Ageris training 2016
Ageris training 2016
 
guide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdfguide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdf
 
Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
 
Guide hygiene informatique Anssi
Guide hygiene informatique AnssiGuide hygiene informatique Anssi
Guide hygiene informatique Anssi
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
 
Ageris software 2016
Ageris software 2016Ageris software 2016
Ageris software 2016
 
Ageris privacy 2016
Ageris privacy 2016Ageris privacy 2016
Ageris privacy 2016
 
SMSSI ITIL
SMSSI  ITILSMSSI  ITIL
SMSSI ITIL
 
ESTEM5A PART 1 POLITIQUE DE securite informatique.ppt
ESTEM5A PART 1  POLITIQUE DE  securite informatique.pptESTEM5A PART 1  POLITIQUE DE  securite informatique.ppt
ESTEM5A PART 1 POLITIQUE DE securite informatique.ppt
 
Asis 2014 fr - présentation
Asis 2014 fr - présentationAsis 2014 fr - présentation
Asis 2014 fr - présentation
 
Responsable de la securite des systemes d’information
Responsable de la securite des systemes d’informationResponsable de la securite des systemes d’information
Responsable de la securite des systemes d’information
 
Is27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementerIs27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementer
 

Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]

  • 1. « Politiques de Sécurité de l’Information » Club 27001 Toulouse – 12 Avril 2013 Sébastien RABAUD – SCASSI Conseil sebastien.rabaud@scassi.com
  • 2. Politiques de sécurité Sommaire « Politiques » et « sécurité » Constats Besoins et objectifs des politiques de sécurité Structure / Contenu des politiques de sécurité Mise en œuvre des politiques de sécurité Reproduction interdite sans accord écrit de SCASSI Conseil 2
  • 3. « Politiques » et « Sécurité » Les politiques dans un organisme – Exemples : • Ressources humaines, Achats / Fournisseurs, Commerciale, Qualité produit, … – Définition : • Stratégie, lignes directrices, règles de fonctionnement, … • Liées à un processus, une activité, … • Documenté … ou pas Les politiques de sécurité – Exemples : • Industrielle, des personnes, des bâtiments, … • De l’Information, des Systèmes d’Information, du SMSI Reproduction interdite sans accord écrit de SCASSI Conseil 3
  • 4. Politiques de sécurité Constats Un unique document monolithique … « copier / coller » de ISO27002 (« LA PSI ») Un magma de documents hétérogènes : – notes de services, mails, chartes, procédures opérationnelles, … Rien du tout … Pas mis à jour, « poussiéreux », … Inutilisés car … Pas ou peu connu des acteurs pertinents Inutilisable Pas assez précis / applicable pour certains acteurs (administrateurs systèmes, réseaux, chef de projet, …) Trop précis pour d’autres (Chefs de projet, managers, …) Niveau d’application / de conformité inconnu ! Reproduction interdite sans accord écrit de SCASSI Conseil 4
  • 5. Politiques de sécurité Pourquoi ? Quels sont les besoins et objectifs ? – Une politique de sécurité de l’information pour répondre à des exigences • Clients : – avec référentiel (« Maison », 27001) – … ou sans => « Qu’attends l’auditeur ? » • RGS Reproduction interdite sans accord écrit de SCASSI Conseil 5
  • 6. Politiques de sécurité Pourquoi ? Quels sont les besoins et objectifs ? – Une politique de sécurité de l’information pour répondre à des exigences • PCI-DSS Reproduction interdite sans accord écrit de SCASSI Conseil 6
  • 7. Politiques de sécurité Pourquoi ? Quels sont les besoins et objectifs ? – Une politique de sécurité de l’information pour répondre à des exigences • 27001 : Etablissement du SMSI Reproduction interdite sans accord écrit de SCASSI Conseil 7
  • 8. Politiques de sécurité Pourquoi ? Quels sont les besoins et objectifs ? – Une politique de sécurité de l’information pour répondre à des exigences • 27001 : Annexe A Reproduction interdite sans accord écrit de SCASSI Conseil 8
  • 9. Politiques de sécurité Pourquoi ? Quels sont les besoins et objectifs ? – Une politique de sécurité de l’information pour répondre à un besoin, une thématique précise • BYOD, réseaux sociaux, … – Une politique de sécurité de l’information pour : • • • • définir, communiquer, partager les règles de sécurité … auprès des bons interlocuteurs avec le bon niveau de détails concernant tout ou partie des domaines de la sécurité de l’information s’adapter aux évolutions – Des risques – De l’organisation • plutôt une cible à atteindre qu’un recueil de ce que l’on est capable de faire Reproduction interdite sans accord écrit de SCASSI Conseil 9
  • 10. Politiques de sécurité Structure Structure multi-niveaux Niveau Objet Contenu, Exemples 1 Stratégie, Général Principes généraux : Fonction SSI, Rôles et responsabilités SSI 2 Thématiques Domaines SSI : Contrôle d’accès, Traces, Tiers, … 3 Détaillées Réseau, Systèmes, Application n 4 Guides, Procédures SSI S’appliquant à plusieurs processus / services Transverses / « périphériques » Chartes, Note d’organisation, Politique de sécurité applicable aux fournisseurs Autres Reproduction interdite sans accord écrit de SCASSI Conseil 10
  • 11. Politiques de sécurité Structure Structure multi-niveaux Les politiques thématiques (N2) – regroupent l’ensemble des règles d’une thématique s’appliquant à l’ensemble de l’organisme – sont utilisables / applicables directement en tant que référentiel – peuvent être utilisés pour définir une politique de niveau 3 – Exemples : Contrôle d’accès logique, Gestion des traces, alertes, incidents, … Reproduction interdite sans accord écrit de SCASSI Conseil 11
  • 12. Politiques de sécurité Structure Structure multi-niveaux Les politiques détaillées (N3) – regroupent les règles d’un « domaine » pour l’ensemble des thématiques (« héritage » du niveau 2), – permet à certains acteurs d’avoir un seul document référent – permet d’instancier, de préciser, d’ajouter certaines règles – Exemples : Réseau, Système, Bureautique, Application RH, … Reproduction interdite sans accord écrit de SCASSI Conseil 12
  • 13. Politiques de sécurité Structure Structure multi-niveaux Les guides et procédures SSI (N4) – Ne sont pas des politiques mais répondent à des besoins de guides ou procédures « génériques » : • Soit pour répondre à des besoins transverses particuliers. Ex : procédure de déclaration CNIL (à l’usage des responsables de traitement) • Soit pour faciliter l’élaboration, l’amélioration de procédures opérationnelles. Ex : procédure de création d’accès utilisateur Reproduction interdite sans accord écrit de SCASSI Conseil 13
  • 14. Politiques de sécurité Structure Structure multi-niveaux Les documents « autres, transverses » – Ne sont pas des politiques mais répondent à des besoins particuliers • • • • • Chartes : d’usage du système d’information, éditoriale, … Politiques de sécurité applicables par les tiers Documents de sensibilisation : supports de présentation, … Communications ponctuelles : alertes, notes, … Matrice de correspondance entre un référentiel imposé et la structure documentaire • Document demandé par un client : Politique de protection des données client Reproduction interdite sans accord écrit de SCASSI Conseil 14
  • 15. Politiques de sécurité Structure Documents de gestion Le référentiel documentaire – Contient notamment les « métadonnées » de la politique Le(s) documents de suivi de la « conformité » – Globale (Référentiel = N2) – Par « domaine » (Référentiel = N2) : Applications RH Reproduction interdite sans accord écrit de SCASSI Conseil 15
  • 16. Politiques de sécurité Structure Reproduction interdite sans accord écrit de SCASSI Conseil 16
  • 17. Politiques de sécurité Structure Modèle documentaire Reproduction interdite sans accord écrit de SCASSI Conseil 17
  • 18. Politiques de sécurité Rôles Rôles « génériques » relatifs à chaque document Exemples Valider Comité Sécurité, Directeur Général Définir et mettre à jour RSSI, Experts Tout ou partie d’un document de politique (ex : la stratégie de contrôle d’accès) Diffuser « Faire appliquer » RSSI RSSI Appliquer, Mettre en œuvre Administrateurs, Chefs de projet, Contrôler, vérifier RSSI, Audit interne Reproduction interdite sans accord écrit de SCASSI Conseil 18
  • 19. Politiques de sécurité Contenu Des règles ou exigences qui peuvent être en 2 parties : – Décrire ce qu’il faut faire – … et décrire ce qui a été fait ! Reproduction interdite sans accord écrit de SCASSI Conseil 19
  • 20. Politiques de sécurité Projet ou processus ? Un projet de définition de politique de sécurité, c’est bien … – « Une politique de sécurité sera définie à un instant t » … un projet de « définition et mise en œuvre d’un « processus » de gestion de politique de sécurité », c’est mieux ! – Modalités de gestion de la politique : validation, mise à jour, diffusion, contrôle, … – De manière itérative et progressive « Ne pas tout faire d’un seul coup » Reproduction interdite sans accord écrit de SCASSI Conseil 20
  • 21. Politiques de sécurité Mise en œuvre Adaptation à l’existant et aux besoins de l’organisme – Au niveau de la structure documentaire • Par rapport à la cartographie des processus • … en fonction du niveau de maturité – Processus RH Politique RH – Processus de gestion des tiers Politique de sécurité des tiers ? – Continuité d’activité – Juridique / Réglementaire Politique de sécurité RH ? Politique de gestion des tiers – Au niveau des activités de gestion • Validation : instances, comités • Diffusion : communication • Contrôle : audit interne Reproduction interdite sans accord écrit de SCASSI Conseil 21
  • 22. Politiques de sécurité Mise en œuvre Impliquer les « acteurs » dans la définition / rédaction des politiques – « Valideur » – « Appliqueur » Sous forme de groupe de travail avec comme support une base « générique » de règles La « diffusion » des politiques doit être accompagnée d’actions de sensibilisation (« convaincre ») et de formations (« apprendre ») Reproduction interdite sans accord écrit de SCASSI Conseil 22
  • 23. Politiques de sécurité Mise en œuvre & Amélioration Politiques de sécurité et gestion des risques (1) – « La politique de sécurité doit découler d’une analyse de risques » • La politique générale doit intégrer une description des enjeux principaux issues de l’analyse de risques globale à l’organisme • Les politiques de sécurité détaillées relatives aux domaines métiers / applicatifs doivent être élaborés en fonction des analyses de risques spécifiques. Ex : nature ou durée de conservation de traces liées à des exigences métiers spécifiques, niveau de contrôle d’accès logique adaptée au niveau de sensibilité des données – L’évolution des politiques de sécurité dépends directement des évolutions du risque • Usages : BYOD, réseaux sociaux, … • Menaces : DDOS, APT, … Reproduction interdite sans accord écrit de SCASSI Conseil 23
  • 24. Politiques de sécurité Mise en œuvre & Amélioration Politiques de sécurité et gestion des risques (2) – Interfaces RISQUES RH R I S Q U E S POLITIQUES IT M1 BYOD, réseaux sociaux Tiers, Cloud … M E S U R E S 24 Reproduction interdite sans accord écrit de SCASSI Conseil
  • 25. Politiques de sécurité Conclusion « Plusieurs politiques de sécurité » … – La politique de sécurité interne qui décrit les règles et exigences s’appliquant à l’ensemble des activités de l’organisme Ex : Politique de sécurité relative à la gestion des tiers, Politique de protection des données, … – Des documents « périphériques » pouvant être intitulé « politiques de sécurité » destinés à répondre à des besoins spécifiques (souvent « externes ») Ex : Politique de sécurité applicable au tiers (à usage d’annexe contractuelle par exemple), Politique de protection des données clients Reproduction interdite sans accord écrit de SCASSI Conseil 25
  • 26. Politiques de sécurité Conclusion Point-clés Et vous ? Organisation, rôles, processus de gestion ? Structure documentaire ? Analyse de risques ? Diffusion / Sensibilisation ? Contrôle / Vérification / conformité ? Complétude / profondeur ? Reproduction interdite sans accord écrit de SCASSI Conseil 26
  • 27. Merci de votre attention ? http://www.scassi.com Sébastien RABAUD – SCASSI Conseil sebastien.rabaud@scassi.com Reproduction interdite sans accord écrit de SCASSI Conseil 27